來來來,一起進(jìn)入這黑黑的驅(qū)動(dòng)程序世界.:)
這里要講的是Vxd,Kernel Mode Driver,和WDM的一些基本問題.
什么是VxD?
VxD乃 VIRTUAL X
DRIVER.哎,說了也白說.其實(shí)就是虛擬設(shè)備驅(qū)動(dòng)程序.是系統(tǒng)用于對(duì)各種硬件資源識(shí)別,管理,維護(hù)運(yùn)作的擴(kuò)展.VXD和VMM(虛擬機(jī)管理器)一起合
作,維持著系統(tǒng)的運(yùn)作.VxD模式從WIN3X時(shí)代就開始了.一直到了WIN98還一直在MS的WIN系列操作系統(tǒng)中起主導(dǎo)作用.VxD運(yùn)作在INTEL
系列CPU保護(hù)模式下的RING0.擁有對(duì)硬件的最高控制權(quán).
什么是Kernel Mode Driver(KMD)?
Kernel Mode
Driver是NT下提出的管理,維護(hù)硬件運(yùn)作的驅(qū)動(dòng)程序模式.該DRIVER運(yùn)行于NT的KERNEL模式下,類似于RING0.但是,一個(gè)KMD的運(yùn)
作環(huán)境在不同的時(shí)候是根本不同的.DRIVER收到設(shè)備請(qǐng)求時(shí)的運(yùn)行環(huán)境很可能和設(shè)備請(qǐng)求實(shí)際操作的運(yùn)行環(huán)境根本不同.這也是NT下,DRIVER的運(yùn)作也受到NT的許多限制,一不小心,DRIVER和NT就同歸于盡,來個(gè)BSOD(BLUE SCREEN OF DEATH).
什么是WDM?
WDM乃WIN32 DRIVER MODEL的簡(jiǎn)寫.隨WIN95
OSR2.1推出,和WIN2000兼容.乃MS力推的'全新'的驅(qū)動(dòng)程序模式.目前網(wǎng)上WDM的文章很多,但是成書不多.基本上由于98對(duì)WDM的支持
有限,而WIN2000又沒有正式版推出,WDM的實(shí)際應(yīng)用還不多.但是很快,WDM將成為主流的DRIVER模式.在我看來,WDM只不過是個(gè)PNP的KMD而已.(也許是沒領(lǐng)悟到精髓說的話:))
早期的WIN3X,核心是VMM,當(dāng)時(shí)的VMM已經(jīng)具備了基本的操作系統(tǒng)核心的一些特征.但是WIN3X的驅(qū)動(dòng)程序模式混亂不堪.硬件由VxD驅(qū)動(dòng),網(wǎng)絡(luò)和文件系統(tǒng)由實(shí)模式驅(qū)動(dòng)程序驅(qū)動(dòng),多媒體硬件和打印機(jī)有RING3 DLL驅(qū)動(dòng),系統(tǒng)服務(wù)決大部分被轉(zhuǎn)到V86模式下由實(shí)模式的DOS完成.
到了WIN95很大一部分系統(tǒng)服務(wù)被轉(zhuǎn)換到了保護(hù)模式下.但是,混亂的驅(qū)動(dòng)模式?jīng)]有改變.WIN95主攻方向是易用性,而且的確WIN95在用戶界面上有
些進(jìn)步.當(dāng)95開發(fā)組努力開發(fā)的時(shí)候,NT也推出了.這是個(gè)號(hào)稱C2極的OS.當(dāng)然,我并不相信該系統(tǒng)的強(qiáng)壯性,如果它的源代碼公開的話,很可能就不堪一
擊.當(dāng)然,NT比95還是有可圈點(diǎn)之處的.它乃是個(gè)真正的32位系統(tǒng).而且,提供了5個(gè)應(yīng)用環(huán)境:WIN32,VDM,POSIX.WOW,OS/2.這
5個(gè)環(huán)境相互獨(dú)立,并且操作系統(tǒng)僅對(duì)WIN32環(huán)境提供接口,WIN32提供其他環(huán)境接口,其他環(huán)境的API調(diào)用最終被轉(zhuǎn)換到WIN32,進(jìn)入OS核心.
換言之:WIN32是屏幕,鼠標(biāo),鍵盤的擁有者,其他環(huán)境如要使用,就要向WIN32子系統(tǒng)申請(qǐng).
現(xiàn)在的WIN98乃是一個(gè)大雜種.包含了所有95的驅(qū)動(dòng)程序模式,加上了WDM.很難想象.如果有一個(gè)硬件需要開放驅(qū)動(dòng)程序.你必須首先看一下,適合什么模式.MINIPORT? NDIS? HID? RING0? RING3? 幾乎每個(gè)硬件都對(duì)應(yīng)一種模式.
::UNDOCUMENTED HINT
NT
隱藏了一個(gè)環(huán)境.那就是NATIVE環(huán)境.這個(gè)環(huán)境可以說基本上沒有在文檔里出現(xiàn)過.也沒有支持.在DDK里僅僅公開了一小部分NATIVE
API.NATIVE環(huán)境在系統(tǒng)啟動(dòng)時(shí)尤其重要.NT的CHKDSK程序就是個(gè)NATIVE應(yīng)用程序.在運(yùn)行該程序時(shí),根本就沒有WIN32環(huán)境,更沒有
WOW, POSIX環(huán)境.這時(shí)候只有NATIVE API可供調(diào)用.而MS在很多情況下就是靠NATIVE
API來獲取更高的應(yīng)用程序效能.得到不公平的競(jìng)爭(zhēng)優(yōu)勢(shì).某些NATIVE API甚至可饒過系統(tǒng)的安全檢查來完成原先不能完成的任務(wù).
VXD和KMD的最大區(qū)別在于VXD不需要考慮多CPU的問題.而KMD需要調(diào)用自旋鎖來同步多CPU之間數(shù)據(jù)訪問.當(dāng)然,如果必要的話,通過VXD來增
加對(duì)多CPU的支持應(yīng)該并不困難,因?yàn)閂MM提供了很開放的環(huán)境:VXD可以攔截VMM的調(diào)用入口.就類似于在DOS時(shí)代攔截INT21來擴(kuò)展系統(tǒng)服務(wù).
而NT如果要擴(kuò)展系統(tǒng)的化就很困難了.因?yàn)檫@是未公開的.(當(dāng)然,方法還是有的.等過一段時(shí)間我再寫:))
另外一個(gè)重要的區(qū)別是VXD可以在CPU處于實(shí)模式時(shí)就獲得系統(tǒng)的控制.而KMD不能.等KMD獲得第一個(gè)啟動(dòng)時(shí)機(jī),CPU已經(jīng)處于保護(hù)模式,甚至你替換調(diào)HAL或NTOSKRNL也無濟(jì)于事.因?yàn)镃PU的模式切換是有NTLDR進(jìn)行的:(
到底如何決定該用VXD還是KMD還是WDM呢?
當(dāng)然,首先應(yīng)該考慮的是應(yīng)用平臺(tái).如果是NT4.X,你沒得選了,肯定是KMD了.如果是WIN95,那也只有VXD一種選擇.當(dāng)目標(biāo)平臺(tái)是98或WIN2000,可
供選擇的方法多點(diǎn).但是也受到OS規(guī)范的限制.
98下.如果想開發(fā)的是FSD,那么必須用VXD.盡管98有個(gè)WDMFS.SYS的東西.但是它并非真正的WDM的文件系統(tǒng)驅(qū)動(dòng)程序.98支持的FSD是以
IFSMGR.VXD為基礎(chǔ)的VXD.
如果想搞DISK,COMM...等一系列的DRIVER.你也要寫VXD.因?yàn)?8并沒有提供該類的WDM支持.那么98下什么可以用WDM呢?HID,網(wǎng)絡(luò)類,多媒體類
的硬件支持已經(jīng)轉(zhuǎn)化到了WDM.你已經(jīng)可以從DDK里發(fā)現(xiàn)這幾類驅(qū)動(dòng)程序的樣板程序.
在NT2000下.我還不是很熟.但是很顯然.對(duì)WDM的支持會(huì)更多.老的KMD將逐漸退出舞臺(tái).當(dāng)然,KMD有他不可磨滅的優(yōu)勢(shì).(在NT下,KMD的限制比9X
下的VXD多.但是它仍有一些活絡(luò)余地.例如DISK驅(qū)動(dòng)程序可以訪問視頻硬件,或者其他資源,但隨NT的發(fā)展,早晚這些活絡(luò)余地也會(huì)被取消.)WDM
需要將自己注冊(cè)到相應(yīng)的類里.有相應(yīng)的例程必須輸出.有些類似于MINIDRIVER.
最終要考慮的是DRIVER作者的習(xí)慣.對(duì)哪1種模式更熟悉,寫作更方便,那就用哪個(gè).
我個(gè)人開發(fā)98/95平臺(tái)更多些.所以自己更傾向于VXD:安全限制最少.并且,我喜歡匯編.:) ?
NTKERN.VXD的一些東東
NTKERN.VXD乃是WIN98提供NT類服務(wù)的核心驅(qū)動(dòng)程序.它輸出了幾個(gè)VXD服務(wù).盡管有頭文件,但是卻沒有文檔.這里告訴大家一個(gè)訣竅,很多服務(wù)和NT下ZwXXX例程具有相同的參數(shù),乃是VXD版的ZwXXX.
例如NtKernCreateFile就是ZwCreateFile的翻版.它也具有11個(gè)參數(shù).
下面是NTKERN.VXD的VXD服務(wù)列表.
NTKERN_Service _NTKERN_Get_Version, LOCAL
NTKERN_StdCall_Service _NtKernCreateFile, 11, VxD_CODE
NTKERN_StdCall_Service _NtKernClose, 1, VxD_CODE
NTKERN_StdCall_Service _NtKernReadFile, 9, VxD_CODE
NTKERN_StdCall_Service _NtKernWriteFile, 9, VxD_CODE
NTKERN_StdCall_Service _NtKernDeviceIoControl, 10, VxD_CODE
NTKERN_Service _NtKernGetWorkerThread, VxD_CODE
NTKERN_StdCall_Service _NtKernLoadDriver, 1, VxD_CODE
NTKERN_StdCall_Service _NtKernQueueWorkItem, 2, VxD_CODE
NTKERN_Service _NtKernPhysicalDeviceObjectToDevNode, VxD_CODE
NTKERN_StdCall_Service _NtKernSetPhysicalCacheTypeRange, 4, VxD_CODE
NTKERN_Service _NtKernWin9XLoadDriver, VxD_CODE
NTKERN_StdCall_Service _NtKernCancelIoFile, 2, VxD_CODE
NTKERN_Service _NtKernGetVPICDHandleFromInterruptObj, VXD_CODE
NTKERN_StdCall_Service _NtKernInternalDeviceIoControl, 10, VxD_CODE
上
述服務(wù)里,部分是未公開的.如果大家參悟透了,NT下也有很多東西可迎刃而解.我想,文件IO應(yīng)該沒什么問題,但是其他東西就難搞了.在這里,我在網(wǎng)絡(luò)上
僅看到了_NtKernLoadDriver的接口.他和ZwLoadDriver具有相同的參數(shù),用來從VXD加載KMD.(ZwLoadDriver
本身又是個(gè)未公開的函數(shù))具體接口如下:
NTSTATUS __stdcall ZwLoadDriver( PUNICODE_STRING ServiceKeyPath ).